0
Корзина пуста
Заказать звонок

MES3508 Eltex | Промышленный коммутатор 8 портов 1G

  • 8х10/100/1000Base-T
  • 2 х combo 10/100/1000Base-T/1000Base-X
  • RS-232 (RJ-45)
  • OOB (RJ-45)
  • USB

Цена GPL ?

85 913 Снизить цену
Под заказ
85913 Оформить заявку
Получить счет Получить счет(для юр. лица)
Посмотреть аналогичные устройства >

Промышленный коммутатор

Линейка промышленных коммутаторов  MES35xx Eltex предназначена для заказчиков, которым необходимо создать  защищенную отказоустойчивую сеть передачи данных на объектах. Коммутатор соответствует сертификату безопасности UL 508, а также стандарту IEEE 1613. Коммутатор MES3508 имеет 8 гигабитных портов и 2 combo-порта. Коммутатор имеет крепление на DIN-рейку и группу сухих контактов для подключения различных средств телеметрии. 

МЕS3508, с расширенным температурным диапазоном

MES3508, разработан в индустриальном корпусе со степенью защиты от внешних воздействий окружающей среды соответствующей IP30.Эксплуатация устройства возможна при температуре от -40 до +70° С. 

Ключевые преимущества

  • Коммутатор L2
  • Крепление на din-рейку
  • Сухие контакты
  • Индустриальный диапазон

Промышленные коммутаторы ЭЛТЕКС MES3508, MES3508P и MES3608P предназначены для организации, защищенных отказоустойчивых сетей передачи данных на объектах, где необходимо выполнение требований по обеспечению устойчивости к воздействиям различного вида: температурным, механическим, вибрации и др. Данные коммутаторы имеют в своем составе гигабитные порты 10/100/1000BASE-Т и комбинированные порты 10/100/1000BASE-T/1000BASE-X/100BASE-FX для опционального подключения оптического кабеля.

Интерфейсы
  • 8х10/100/1000ASE-T (RJ-45)
  • 2хCombo 10/100/1000BASE-T (RJ-45)/1000BASE-Х/100BASE-FX
  • Консольный порт: RS-232 (RJ-45)
Поддержка стандартов
  • IEEE 802.3af, 802.3at (Power over Ethernet) IEEE 802.3i (10BASE-T)
  • IEEE 802.3u (100BASE-T(X), 100BASE-FX) 
  • IEEE 802.3ab (1000BASE-T(X))
  • IEEE 802.3z (1000BASE-X)
  • IEEE 802.3x (Flow Control)
  • IEEE 802.1d (Spanning Tree Protocol (STP)) 
  • IEEE 802.1w (Rapid Spanning Tree Protocol (RSTP))
  • IEEE 802.1s (Multiple Spanning Tree Protocol (MSTP)) 
  • IEEE 802.1q (VLAN Tagging)
  • IEEE 802.1p (Class of Service (CoS)) 
  • IEEE 802.1x (Authentication)
  • IEEE 802.3ad (Link Aggregation Control Protocol (LACP)) 
  • IEEE 802.1ab (Link Layer Discovery Protocol (LLDP))
Поддержка протоколов и функций
  • DHCP Server/Client
  • DHCP Option 66/67/82
  • BootP 
  • TFTP 
  • HTTP 
  • HTTPS 
  • Telnet 
  • SSH 
  • Syslog 
  • IPv6 
  • Port Security 
  • IP Source Guard 
  • Port Monitor
Параметры
  • Качество обслуживания QoS: 8 очередей на порт
  • Таблица VLAN 4К
  • Таблица MAC-адресов 16К
  • Объем буферной памяти 12Мбит
  • Объем TCAM 3К
  • Размер Jumbo-фреймов 10К
Электропитание
  • Напряжение питания:
    • 48 (20~75) VDC
    • 85~265 VAC*
    • Два съемных клемных блока для подключения основного и резервного источников питания
  • Защита от обратной полярности
  • Потребляемая мощность (без нагрузки PoE): не более 15 Вт (без нагрузки PoE)
  • Бюджет мощности PoE: 240 Вт (для приложений 802.3at, рекомендуемое напряжение питания 54~56 VDC)
  • Реле сигнализации: один релейный выход аварийной сигнализации: 1 A 24 VDC
Стандарты и сертификаты
  • Безопасность UL 508
  • Электромагнитная совместимость:
    • EN 55022 Класс A
    • EN 61000-4-2 (ESD) Level 3
    • EN 61000-4-3 (RS) Level 3
    • EN 61000-4-4 (EFT) Level 3
    • EN 61000-4-5 (Surge) Level 3
    • EN 61000-4-6 (CS) Level 3
    • EN 61000-4-8
  • Применение на объектах энергетики:
    • IEC 61850-3
    • IEEE 1613
  • Удар: IEC 60068-2-27
  • Свободное падение: IEC 60068-2-32
  • Вибрация: IEC 60068-2-6
Характеристики окружающей среды
  • Рабочая температура: от -40 до +70 С 
  • Температура хранения: от -40 до +85 С
  • Влажность: от 5 до 95% (без конденсации)
Физические характеристики
  • Корпус: металлический, IP30
  • Вид размещения: DIN-рейка, для настенного монтажа (в дополнительной комплектации)
  • Габариты: 85 х 152 х 115мм
  • Вес: 1,45 кг
*Или 100~375 VAC для MES3508HV

MES3508

Ethernet-коммутатор MES3508, 8х10/100/1000Base-T (PoE/PoE+), 2хcombo 10/100/1000Base-T/1000Base-X, L2, 48 (45 ~ 57) VDC

DRS-270-56

Источник питания для MES3508, AC
[MES] Настройка TACACS на коммутаторах MES

Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
Конфигурацию будем выполнять на базе коммутатора MES2324.

1.    Для начала необходимо указать ip-адрес tacacs-сервера и указать key:

MES2324B(config)#tacacs-server host 192.168.10.5 key secret

2.    Далее установить способ аутентификации для входа в систему по протоколу tacacs+:

MES2324B(config)#aaa authentication login authorization default tacacs local

Примечение: На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.

3.    Установить способ аутентификации при повышении уровня привилегий:

MES2324B(config)#aaa authentication enable authorization default tacacs enable

Чтобы не потерять доступ до коммутатора (в случае  недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.

4.    Создать учетную запись:


MES2324B(config)#username tester password eltex privilege 15

5.    Задать пароль на доступ в привилегированный режим:

MES2324B(config)#enable password eltex

6.  Разрешить ведение учета (аккаунта) для сессий управления.

MES2324B(config)#aaa accounting login start-stop group tacacs+

7.  Включить ведение учета введенных в CLI команд по протоколу tacacs+.

MES2324B(config)#aaa accounting commands stop-only group tacacs+

Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).

[MES] Сброс настроек интерфейса в default

Пример:

2324B(config)#default interface gig0/10
Configuration for these interfaces will be set to default.
It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y
2324B(config)#

[MES] Настройка GVRP

GARP VLAN Registration Protocol (GVRP) – протокол VLAN-регистрации. Протокол позволяет распространить по сети идентификаторы VLAN. Основной функцией протокола GVRP является обнаружение информации об отсутствующих в базе данных коммутатора VLAN-сетях при получении сообщений GVRP. Получив информацию об отсутствующих VLAN, коммутатор добавляет ее в свою базу данных, как Type  - dynamicGvrp .

 

Пример настройки switch1

Распространить vlan 300 по сети.

console(config)# gvrp enable
console(config)# interface gigabitethernet1/0/1
console(config-if)# gvrp enable
console(config-if)# swichport mode trunk
console(config-if)# swichport trunk allowed add 100,300

Пример настройки на switch2

console(config)# gvrp enable
console(config)# interface gigabitethernet1/0/1
console(config-if)# gvrp enable
console(config-if)# swichport mode trunk
console(config-if)# swichport trunk allowed add 100

27-Jul-2016 11:53:25 %VLAN-I-GVRPAddVlan: Dynamic VLAN Vlan 300 was added by GVRP
27-Jul-2016 11:53:25 %VLAN-I-GVRPAddPort: Dynamic port gi1/0/1 was added to VLAN Vlan 300 by GVRP

switch2#sh vlan 
Vlan mode: Basic

Vlan Name Tagged ports Untagged ports Type Authorization
1 - - gi1/0/1-7,gi1/0/9-28,Po1- Default Required
100 - gi1/0/1 - permanent Required
300 - gi1/0/1 - dynamicGvrp Required

 

По умолчанию VLAN c  Type  - dynamicGvrp нельзя  назначить на порт.  Для этого  vlan  нужно добавить  в vlan database.

 

Начиная с версии 4.0.9 и 1.1.48/2.5.48 доступен функционал отключения анонса по gvrp определенного vlan. Используется команда gvrp advertisement-forbid в контесте конфигурирования interface vlan.

console(config)#interface vlan 1

console(config-if)#gvrp advertisement-forbid 

В версии 4.0.11 появился функционал автоматического сохранения в динамического vlan, полученного по gvrp,  в vlan database.  Для настройки используется команда  gvrp static-vlan в режиме глобального конфигурирования.

[MES] Настройка radius-сервера на коммутаторах MES

Настройка radius-сервера доступна для коммутаторов серий MES2300/3300/5300. 

radius-сервер может использоваться для 802.1x аутентификации и для аутентификации учётных записей на других коммутаторах.

 

Включение radius-сервера:

radius server enable

 

Настройка адреса коммутатора доступа (клиента) и ключа:

encrypted radius server secret key secret ipv4-address 192.168.1.10

 

Конфигурация групп и привязка к ним уровней привилегий:

radius server group admin
vlan name test
privilege-level 15
exit
!
radius server group priv1
privilege-level 1
exit

Настройка логина и пароля для учётных записей, привязка их к группам:
radius server user username priv1 group priv1 password priv1
radius server user username tester group admin password tester

[MES] Настройка PVST

Настройка протокола PVST доступна для коммутаторов серий MES2300/3300/5300, начиная с версии ПО 4.0.10

 

Для включения протокола PVST необходимо использовать команду:

spanning-tree mode pvst

 

Для создания VLAN- участников PVST:

vlan database

vlan 2-64

 

Данные VLAN требуется добавить на интерфейсы:

interface gigabitethernet1/0/14

switchport mode trunk

switchport trunk allowed vlan add 2-64

 

Максимальное количество VLAN участников PVST - 64.

[MES] Настройка dhcp server

Пример настройки для VLAN 101

Отключить DHCP client в vlan 1

  • interface vlan 1
  • no ip address dhcp

Включить DHCPсервер и настроить пул выдаваемых адресов:

  • ip dhcp server 
  • ip dhcp pool network Test 
  • address low 192.168.101.10 high 192.168.101.254 255.255.255.0 
  • default-router 192.168.101.2 
  • dns-server 10.10.10.10 
  • exit

Задать для интерфейса VLAN101 IPадрес и сетевую маску (это будет адрес DHCPсервера) :

  • interface vlan 101 
  • ip address 192.168.101.1 255.255.255.0 
  • exit 

Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):

  • interface gigabitethernet 1/0/1 
  • switchport access vlan 101 
  • exit 
[MES] Настройка ITU-T G.8032v2 (ERPS)

Протокол ERPS (Ethernet Ring Protection Switching) предназначен для повышения устойчивости и надежности сети передачи данных, имеющей кольцевую топологию, за счет снижения времени восстановления сети в случае аварии. Время восстановления не превышает 1 секунды, что существенно меньше времени перестройки сети при использовании протоколов семейства spanning tree.

Пример конфигурирования

z.png 

Настроим ревертивное кольцо с подкольцом, использующим кольцо в качестве виртуального канала. Для прохождения служебного ERPS трафика в кольце используется VLAN 10 (R-APS VLAN), защищает VLAN 20, 30, 40, 200, 300, 400. Для прохождения служебного ERPS  трафика в подкольце используется VLAN 100, защищает VLAN 200, 300, 400. Так как кольцо будет использоваться в качестве виртуального канала для подкольца, в настройках коммутаторов, которые не знают о существовании подкольца (коммутаторы 1 и 2), необходимо указать все VLAN подкольца.

В качестве RPL линка в основном кольце возьмем линк между коммутаторами 1 и 2. В качестве RPL линка в подкольце возьмем линк между коммутаторами 5 и 6. RPL линк — это линк, который будет заблокирован при нормальном состоянии кольца, и разблокируется только в случае аварии на одном из линков кольца.

Линк между коммутаторами 3 и 4 для подкольца vlan 100 будет определяться как virtual link.

Примечания:

  • Подкольцо не умеет определять разрыв виртуального линка. Поэтому при разрыве этого линка в подкольце не разблокируется rpl-link.
  • По дефолту через интерфейс в режим trunk проходит дефолтный 1 VLAN. Поэтому данный VLAN необходимо или добавить в protected, или запретить его прохождение через интерфейс, чтобы избежать возникновение шторма.
  • RPL link блокирует прохождение трафика в protected VLAN. Но на семейство протоколов xSTP данная блокировка не растространяется. Поэтому необходимо запрещать прохождение STP bpdu через кольцевые порты.

 

Конфигурация коммутатора 1

  • console(config)#erps
  • console(config)#erps vlan 10
  • console(config-erps)#ring enable
  • console(config-erps)#port west te1/0/1
  • console(config-erps)#port east te1/0/2
  • console(config-erps)#protected vlan add 20,30,40,100,200,300,400
  • console(config-erps)#rpl west owner
  • console(config-erps)#exit
  • console(config)#
  • console(config)#interface range TengigabitEthernet1/0/1-2
  • console(config-if)#switchport mode trunk
  • console(config-if)#switchport trunk allowed vlan add 10,20,30,40
  • console(config-if)#switchport forbidden default-vlan
  • console(config-if)#exit
  • console(config)#spanning-tree bpdu filtering 
  •  

Конфигурация коммутатора 2

  • console(config)#erps
  • console(config)#erps vlan 10
  • console(config-erps)#ring enable
  • console(config-erps)#port west te1/0/1
  • console(config-erps)#port east te1/0/2
  • console(config-erps)#protected vlan add 20,30,40
  • console(config-erps)#rpl west neighbor
  • console(config-erps)#exit
  • console(config)#
  • console(config)#interface range TengigabitEthernet1/0/1-2
  • console(config-if)#switchport mode trunk
  • console(config-if)#switchport trunk allowed vlan add 10,20,30,40
  • console(config-if)#switchport forbidden default-vlan
  • console(config-if)#exit
  • console(config)#spanning-tree bpdu filtering 

Конфигурация коммутатора 3, 4

  • console(config)#erps
  • console(config)#erps vlan 10
  • console(config-erps)#ring enable
  • console(config-erps)#port west tengigabitethernet1/0/1
  • console(config-erps)#port east tengigabitethernet1/0/2
  • console(config-erps)#protected vlan add 20,30,40
  • console(config-erps)#sub-ring vlan 100
  • console(config-erps)#exit
  • console(config)#erps vlan 100
  • console(config-erps)#ring enable
  • console(config-erps)#port west tengigabitethernet1/0/3
  • console(config-erps)#protected vlan add 200,300,400
  • console(config-erps)#exit
  • console(config)#
  • console(config)#interfaceTengigabitEthernet1/0/1
  • console(config-if)#switchport mode trunk
  • console(config-if)#switchport trunk allowed vlan add 10,20,30,40
  • console(config-if)#switchport forbidden default-vlan
  • console(config-if)#exit
  • console(config)#interfaceTengigabitEthernet1/0/2
  • console(config-if)#switchport mode trunk
  • console(config-if)#switchport trunk allowed vlan add 10,20,30,40,100,200,300,400
  • console(config-if)#switchport forbidden default-vlan
  • console(config-if)#exit
  • console(config)#interfaceTengigabitEthernet1/0/3
  • console(config-if)#switchport mode trunk
  • console(config-if)#switchport trunk allowed vlan add 100,200,300,400
  • console(config-if)#switchport forbidden default-vlan
  • console(config-if)#exit
  • console(config)#spanning-tree bpdu filtering 

Конфигурация коммутатора 5

  • console(config)#erps
  • console(config)#erps vlan 100
  • console(config-erps)#ring enable
  • console(config-erps)#port west te1/0/1
  • console(config-erps)#port east te1/0/2
  • console(config-erps)#protected vlan add 200,300,400
  • console(config-erps)#rpl west owner
  • console(config-erps)#exit
  • console(config)#
  • console(config)#interface range TengigabitEthernet1/0/1-2
  • console(config-if)#switchport mode trunk
  • console(config-if)#switchport trunk allowed vlan add 100,200,300,400
  • console(config-if)#switchport forbidden default-vlan
  • console(config-if)#exit
  • console(config)#spanning-tree bpdu filtering 

Конфигурация коммутатора 6

  • console(config)#erps
  • console(config)#erps vlan 100
  • console(config-erps)#ring enable
  • console(config-erps)#port west te1/0/1
  • console(config-erps)#port east te1/0/2
  • console(config-erps)#protected vlan add 200,300,400
  • console(config-erps)#rpl west neighbor
  • console(config-erps)#exit
  • console(config)#interface range TengigabitEthernet1/0/1-2
  • console(config-if)#switchport mode trunk
  • console(config-if)#switchport trunk allowed vlan add 100,200,300,400
  • console(config-if)#switchport forbidden default-vlan
  • console(config-if)#exit
  • console(config)#spanning-tree bpdu filtering 

Статус колец можно посмотреть командами

  • console#show erps
  • console#show erps vlan 10
  • console#show erps vlan 100
[MES] Настройка ECMP для MES23xx/33xx/53xx

Балансировка нагрузки ЕСМР (Equal-cost multi-path routing) позволяет передавать пакеты одному получателю по нескольким «лучшим маршрутам». Данный функционал предназначен для распределения нагрузки и оптимизации пропускной способности сети. ЕСМР может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. Максимально можно настроить 8 путей.

По умолчанию метод балансировки src-dst-mac-ip, изменить можно командой Port-Channel load-balance

Пример настройки ECMP:

MES2324(config)#ip maximum-paths 3

P.S.Настройка вступит в силу только после сохранения конфигурации и перезагрузки устройства.

Просмотр текущих настроек:

MES2324#show ip route 
Maximum Parallel Paths: 1 (1 after reset)
Load balancing: src-dst-mac-ip

[MES] Настройка IPv6 адреса на коммутаторах MES

Настройка IPv6 адреса:

 

1) Stateless auto-configuration

 

Является режимом по-умолчанию. Включается следующим образом:

(config)#interface vlan x

(config)#ipv6 enable

 

После ввода команды устройство получает link-local адрес и может взаимодействовать с другими устройствами в данном сегменте сети.

 

Проверить наличие адреса командой:

 

console(config-if)#do sh ipv6 int

 

Interface IP addresses Type

----------- ------------------------------------------------ ------------

VLAN X fe80::e2d9:e3ff:fef1:dc80 linklayer

VLAN X ff02::1 linklayer

VLAN X ff02::1:fff1:dc80 linklayer

 

Адрес ff02::1, т.н. ‘all-nodes’ мультикаст-адрес, который прослушивается всеми узлами сети.

Адрес ff02::1:fff1:dc80 - ‘solicited-node’ мультикаст-адрес, имеет значение в локальном сегменте сети и служит для получения адреса 2-го уровня в рамках протокола NDP (аналог ARP в сетях IPv4).

 

Формирование link-layer адреса.

Link-local адреса всегда начинаются с префикса FE80::/10, к которому присоединяется идентификатор устройства, включающий мак-адрес. Данный идентификатор формируется по алгоритму EUI-64.

Пример:

Пусть коммутатор имеет мак-адрес e0:d9:e3:f1:dc:80. Согласно EUI-64 мак-адрес разбивается на 2 части по 24 бита - e0:d9:e3 и f1:dc:80, которые разделяются вставкой из 16 бит – FFFE. В первой 24-битной части инвертируется бит U/L. Таким образом, из имеющегося мак-адреса получаем link-local адрес fe80::/10 + e2d9e3 +fffe+f1dc80 -> fe80::e2d9:e3ff:fef1:dc80.

 

2) Настройка адреса вручную

 

Настройка вручную осуществляется следующим образом:

 

(config)#interface vlan x

(config)#ipv6 enable # включение ipv6 является обязательным требованием

 

Далее можно задать желаемый global-scope адрес вручную:

 

(config)#ipv6 address 2001::a/64,

 

задать желаемый link-local адрес вручную:

 

(config)#ipv6 address fe80::a/64 link-local,

 

или использовать формирование адреса по алгоритму EUI-64:

 

(config)#ipv6 address 2001::/64 eui-64.

 

Если при назначении адреса вручную не указывать область действия(scope) адреса как link-local, то адреса будут доступны вне локального сегмента сети и будут маршрутизироваться в сетях.

 

Примечание: на коммутаторах MES не предусмотрено получение адреса с помощью DHCPv6.

[MES] Как ограничить число tcp-syn запросов

На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.

 

Пример настройки:

 

Глобально включить security-suite:

2324B(config)#security-suite enable

 

Настроить на порту порог:

2324B(config)#interface gig0/1
2324B(config-if)#security-suite dos syn-attack 127 192.168.11.0 /24

127 - максимальное число подключений в секунду

 

Посмотреть security-suite можно командой show security-suite configuration.

2324B#show security-suite configuration

Security suite is enabled (Per interface rules are enabled). 

Denial Of Service Protect: 

Denial Of Service SYN-FIN Attack is enabled
Denial Of Service SYN Attack

Interface IP Address SYN Rate (pps) 
-------------- -------------------- ----------------------- 
gi1/0/1 192.168.11.0/24 127


Martian addresses filtering
Reserved addresses: disabled
Configured addresses:

 

SYN filtering

Interface IP Address TCP port 
-------------- ---------------------- --------------------

ICMP filtering

Interface IP Address 
-------------- ----------------------

 

Fragmented packets filtering

Interface IP Address 
-------------- ----------------------

 

2324B#

[MES] Пример настройки OSPF

В качестве, примера, настроим соседство OSPF между коммутаторами MES3124 (версия 2.5.47) и MES3324 (версия 4.0.9).

Настройка для версии 2.5.х

1) Создаем interface vlan для создания соседства

console(config)#interface vlan 10

console(config-if)#ip address 10.10.10.6 255.255.255.252

console(config-if)#exit

2) Настройки в режиме глобальной конфигурации

console(config)#router ospf enable

console(config)#router ospf area 4.4.4.4

console(config)#router ospf redistribute connected

console(config)#router ospf router-id 1.1.1.1

3) Настройка интерфейса ip

console(config)#interface ip 10.10.10.6

console(config-ip)#ospf

console(config-ip)#ospf area 4.4.4.4

console(config-ip)#exit

Настройка для версии  4.0.x 

1) Создаем interface vlan для создания соседства

console(config)#interface vlan 10

console(config-if)#ip address 10.10.10.5 255.255.255.252

console(config-if)#exit

2) Настройки в режиме глобальной конфигурации

console(config)#router ospf 1

console(router_ospf_process)#network 10.10.10.5 area 4.4.4.4

console(router_ospf_process)#router-id 5.5.5.5

console(router_ospf_process)#exit

 Контроль работы протокола

Просмотр  ospf соседей  - sh ip ospf neighbor

Просмотр таблицы LSDB - show ip ospf database

Просмотр состяния ospf -  sh ip ospf

 

Настройка параметров ospf аутентификации

1) Настраиваем ключ для аутентификации

console(config)#key chain TEST_KEYCHAIN

(config-keychain)#key 1

(config-keychain-key)#key-string test

(config-keychain-key)#exit

(config-keychain)#exit

 

2) Добавляем ключ к аутентификации md5 по ospf

console(config)#interface ip 10.10.10.6

console(config-ip)ip ospf authentication message-digest

console(config-ip)#ip ospf authentication message-digest

console(config-ip)#ip ospf authentication key-chain TEST_KEYCHAIN

console(config-ip)#ip ospf authentication-key 1

console(config-ip)#ip ospf cost 1

console(config-ip)#exit

[MES] Конфигурация MSTP

Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.


Примечание: Всего можно сконфигурировать 64 экземпляра MSTP.


Пример настройки MSTP:


spanning-tree mode mst
!
spanning-tree mst configuration
instance 1 vlan 201,301
instance 2 vlan 99
instance 3 vlan 203,303
name test
exit

Примечание: По умолчанию все vlan'ы находятся в 0 instance.

Аналоговые телефоны
[MES] Настройка VRRP на коммутаторах MES

Конфигурацию будем выполнять на базе коммутаторов MES2324. Собранная топология:

 

vrrp

sw1, sw2 – два любых коммутатора пропускающих трафик прозрачно, использовались MES2124
R1, R2 — коммутаторы MES2324 с настроенным VRRP, 
R1 — Master
R2 — Backup

Со стороны PC1 сеть VLAN 100
Cо стороны PC2 сеть VLAN 200

–---------------------------------------Настройки мастера (R1):------------------------------------------------

Отключение протокола STP:
R1(config)#no spanning-tree

1) Настройка интерфейса VLAN 200
     а) Настройка IP-адреса интерфейса VLAN 200 для подсети 10.0.200.0 /24:

    R1(config)#int vlan 200
    R1(config-if)#ip address 10.0.200.1 255.255.255.0

    б) Определение VRID (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24

    R1(config-if)#vrrp 1 ip 10.0.200.1

ПримечаниеVRRP-маршрутизатор всегда будет становиться Master, если он владелец IP-адреса, который присвоен виртуальному маршрутизатору

    в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)

    R1(config-if)#no vrrp 1 shutdown

    г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).

    R1(config-if)#vrrp 1 timers advertise msec 50

Примечание: Если интервал задан в миллисекундах, то происходит округление вниз до ближайшей секунды для VRRP Version 2 и до ближайших сотых долей секунды (10 миллисекунд) для VRRP Version 3.

2) Настройка интерфейса gigabitethernet 1/1/23

    R1(config)#int gigabitethernet 1/1/23
    R1(config-if)#switchport mode trunk 
    R1(config-if)#switchport trunk allowed vlan add 200

3) Настройка интерфейса VLAN 100 

    a) Настройка IP-адреса интерфеса для подсети 10.0.100.0 /24

    R1(config)#int vlan 100
    R1(config-if)#ip address 10.0.100.1 255.255.255.0

    б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.100.0 /24

    R1(config-if)#vrrp 1 ip 10.0.100.1

Примечание: R2 становится Backup-маршрутизатором и не выполняет функции маршрутизации трафика до выхода из строя Master.

    в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)

    R1(config-if)#no vrrp 1 shutdown

    г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).

    R1(config-if)#vrrp 1 timers advertise msec 50

4) Настройка интерфейса gigabitethernet 1/1/24

R1(config)#int gigabitethernet 1/1/24
R1(config-if)#switchport mode trunk 
R1(config-if)#switchport trunk allowed vlan add 100

 

 

–-------------------------------------------Настройки Backup (R2):---------------------------------------------

Отключение протокола STP:
R1(config)#no spanning-tree

1) Настройка интерфейса VLAN 200:
     а) Настройка IP-адреса интерфейса для подсети 10.0.200.0 /24:

    R1(config)#int vlan 200
    R1(config-if)#ip address 10.0.200.2 255.255.255.0

    б) Определение ID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24,

    R1(config-if)#vrrp 1 ip 10.0.200.1

    в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)

    R1(config-if)#no vrrp 1 shutdown

    г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).

    R1(config-if)#vrrp 1 timers advertise msec 50

2) Настройка интерфейса gigabitethernet 1/1/23

    R1(config)#int gigabitethernet 1/1/23
    R1(config-if)#switchport mode trunk 
    R1(config-if)#switchport trunk allowed vlan add 200

3) Настройка интерфейса VLAN 100:
     a) Настройка IP-адреса интерфеса для подсети 10.0.100.0 /24

    R1(config)#int vlan 200
    R1(config-if)#ip address 10.0.100.2 255.255.255.0

    б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию VRRP-маршрутизатора для подсети 10.0.100.0 /24
    R1(config-if)#vrrp 1 ip 10.0.100.1

    в) no vrrp 1 shutdown
     г) vrrp 1 timers advertise msec 50

4) Настройка интерфейса gigabitethernet 1/1/24

    R1(config)#int gigabitethernet 1/1/24
    R1(config-if)#switchport mode trunk 
    R1(config-if)#switchport trunk allowed vlan add 100

Примечание: На коммутаторах SW1 и SW2 также необходимо настроить порты gi23 и gi24 в режим trunk для своих VLAN, а порт gi1 в режим access для своих VLAN.

После настройки R1 и R2 при выходе из строя R1 мастером становится R2 и работает как шлюз по умолчанию с виртуальным IP-адресом 10.0.100.1 для сети 10.0.100.0 /24 и 10.0.200.1 для сети 10.0.200.0 /24
При возвращении R1 он снова становится мастером.

Примечание: На канальном уровне резервируемые интерфейсы имеют MAC-адрес 00:00:5E:00:01:XX, где XX – номер группы VRRP (VRID)